대선을 앞두고 안철수 전 후보가 공약으로 내세웠던 ‘공인인증서 폐지’가 현실화될 가능성에 관심이 쏠리고 있다. 2000년대 초반 본격적으로 보급되기 시작한 공인인증서는 보안상 취약할 뿐만 아니라 국내 IT산업의 ‘갈라파고스화(化)’를 상징하는 대표적인 요소로 꼽혀 왔다. 이 때문에 안 전 후보의 공약은 적지 않은 반향과 관심을 불러일으켰다.

새누리당은 대선을 앞두고 발표한 최종 공약집에서 ‘글로벌 표준에 맞는 다양한 공인인증서비스 허용’이라는 공약을 낸 바 있다. 새누리당 국민행복추진위원회에 방송통신 추진단장으로 참여했던 카이스트 윤창번 교수는 24일 통화에서 “국민들이 활용하기 편한 방향으로 개선해 나가고자 하는 것”이라면서도 폐지 여부에 대해서는 “어떻게 하겠다고 단언하는 건 아니고 그 점을 검토해서 편하게 쓸 수 있도록 만들어 드리겠다는 것”이라고 말했다. “어떤 선택이 될지는 봐야 한다”는 설명이다.

공인인증제도는 1999년 제정된 ‘전자서명법’에 기반을 두고 있다. 공인인증서는 인터넷 뱅킹이나 증권거래, 카드결제, 보험 등의 금융 업무에 사용된다. 전자세금계산서나 전자입찰 등 기업 업무와 정부의 전자민원 서비스 등에도 공인인증서가 사용되고 있다. 한국인터넷진흥원(KISA)에 따르면, 지난달을 기준으로 유효한 공인인증서는 2852만여 건에 달한다.

그러나 공인인증서는 다양한 비판에 시달려 왔다. 공인인증서를 사용하기 위해서는 별도의 프로그램(플러그인)을 설치해야 하고, 이를 발급받아 PC에 저장해 별도의 비밀번호를 설정하는 등의 ‘수고’를 해야 하지만, 정작 보안 효과는 크지 않다는 지적이 나온다. 공인인증제도 폐지를 주장해 온 김기창 고려대 교수는 “인증서가 유출되고 나면 소용없다”고 지적한다.

공인인증서도 완전 무결한 시스템은 아니다. 인천지방경찰청 사이버수사대는 지난 2월 해킹 프로그램을 메일에 첨부해 공인인증서 비밀번호 등을 알아내는 해커들을 체포해 구속한 바 있다. ©연합뉴스

공인인증서는 PC의 ‘NPKI’ 폴더에 저장된다. 인증서 파일은 이용자가 설정한 패스워드가 있어야 읽어낼 수 있다. 해킹으로 인증서 파일이 유출 되더라도 ‘안전’하다고 정부가 주장하는 이유다. 그러나 23일 만난 김 교수는 “황당한 발상”이라고 말했다. 이용자가 공인인증서와 같은 패스워드를 다른 사이트에서도 사용할 경우, 손쉽게 무력화될 수 있다는 설명이다.

김 교수는 “공격자가 이용자의 PC를 장악하면 (공인인증서의 패스워드) 알고리즘을 깰 필요도 없다”며 “인증서 파일을 가져오고, 이용자가 다른 사이트에서 입력하는 패스워드를 알아내 (유추)하면 되는 것”이라고 말했다.

공인인증서가 ‘액티브X’ 오남용에 기여했다는 지적도 많다. 특정 브라우저(익스플로러)에서만 작동해 호환성이 떨어지는 건 둘째 문제다. 김 교수는 “온 국민의 컴퓨터 이용행태를 위험하게 만든 것”이라고 말했다. 이용자는 서버가 시키는 대로 플러그인을 다운 받는 습관을 길러왔다. 이는 우리나라 PC의 바이러스 감염률이 전 세계적으로 높은 원인으로 꼽힌다.

시장도 정체 상태다. 정부가 지정한 국내 공인인증기관은 모두 다섯 곳이다. 금융결제원이 대부분의 시장을 점유하고 있는 가운데 한국전자인증과 코스콤, 한국무역정보통신, 한국정보인증 등이 나머지 시장을 나눠 갖고 있다. 신한금융투자 최준근 애널리스트는 “국민 대부분이 발급 받았다고 가정하면 한정된 시장에서 점유율을 서로 뺏는 정도 수준”이라고 말했다.

김기창 교수는 “억지로 쓰게 하는 규정만 없애면 된다”고 설명했다. 금융위원회는 공인인증서를 의무 사용하도록 고시를 제정·운영해왔다. 스마트폰 보급이 늘어나면서 방송통신위원회는 2010년 의무화 규정을 완화했고, 지난해 금융위는 “공인인증서 또는 이와 동등한 수준의 안정성이 입증되는 인증방법”을 사용할 수 있도록 고시를 개정했지만, 실제 적용 사례는 ‘전무’한 실정이다.

윤창번 교수는 “글로벌 기술기준에 맞게 추진하겠다는 것”이라고 밝혔다. 다만 금융위 고시 폐지 여부에 대해서는 “각 기관에서 (공인인증서가) 필요하다고 하면 그대로 가야되지 않겠냐”고 말했다. 현재로선 공인인증서의 운명을 점치기 쉽지 않은 셈이다.